dasjonken 10 Geschrieben 12. Mai 2006 Melden Teilen Geschrieben 12. Mai 2006 Hallo! Ich habe hier ein kleines Problem. Und zwar haben wir in unserer W2K Domaene eine Passwordpolicy erstellt, welche unter anderem die Komplexitaetsanforderung fuer Kennwoerter verlangt. Jetzt ist das Problem, dass wir mit RADA arbeiten und die entsprechenden Geraete mit der MAC Adresse als Namen und Kennwort als Account angelegt werden. Diese Accounts liegen alle in einer OU innerhalb unserer AD Struktur. Da das Kennwort ja in diesem Fall nicht der Komplexitaetsanforderung entspricht, weil es den Benutzernamen enthaelt, haben wir da jetzt ein Problem, welches geloest werden will. Es soll auf jeden Fall der Benutzername und das Kennwort so verbleiben, wie es jetzt ist, also die MAC Adresse. Auf die OU brauche ich ja auch keine neue Kennwortrrichtlinie zu legen, da die dann ja nur fuer die lokalen Accounts gelten wuerde. Hat vielleicht jemand eine ganz kreative Idee, wie dieses Problem geloest werden koennte? Ich waere aber sowas von dankbar!!!!! ;) Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 12. Mai 2006 Melden Teilen Geschrieben 12. Mai 2006 hast du die PW komplexität in der defaultdomainpolicy festgelegt? Zitieren Link zu diesem Kommentar
dasjonken 10 Geschrieben 12. Mai 2006 Autor Melden Teilen Geschrieben 12. Mai 2006 Ja, hab ich, weil es nicht wirklich einen Sinn gemacht haette, dafuer eine neue Policy zu erstellen. Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 12. Mai 2006 Melden Teilen Geschrieben 12. Mai 2006 wenn es in der DDP defniert ist hast du keine möglichkeit es für eine andere OU zu blocken oder anders zu definieren. seit W2K3 empfiehlt MS ausdrücklich die DDP überhaupt nicht mehr anzufassen, nicht mal mehr für die kennwortrichtlinien. http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/strngpw.mspx wenn du die policy trennst und in der hirachie so einstellst das sie auf die OU der RADA nicht wirkt, durch blockieren, dann kann bzw. könnte es gehen. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 12. Mai 2006 Melden Teilen Geschrieben 12. Mai 2006 Deaktiviere doch temporär die Komplexität, setze die Kennwörter der entsprechenden Accounts und setze die Haken , dass das Kennwort nicht geändert werden muss und darf und aktiviere die Komplexität dann wieder ... (oder habe ich da was falsch verstanden) Zitieren Link zu diesem Kommentar
dasjonken 10 Geschrieben 12. Mai 2006 Autor Melden Teilen Geschrieben 12. Mai 2006 @IThome nee, haste richtig verstanden, aber: man muesste die Komplexitaet dann jedes mal ausschalten, wenn ein neuer Computer oder Drucker ins Netz genommen werden soll. Das ist in meinen Augen wenig praktikabel. @Hirgelzwift Ja, das hatte ich befuerchtet, ist aber auch kein grosser Act. Dann mache ich einfach eine neue Policy und deaktiviere die fuer die RADA OU. Vielen Dank!!! :) Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 12. Mai 2006 Melden Teilen Geschrieben 12. Mai 2006 .... und was wenn er neue geräte bekommt und oder änderungen vornahmen muss? soll er dann jedesmal erst die richtlinie "verbiegen". (edit: (MVL :D )) unter W2K wäre es kein prob gewesen. da konnte der admin auch kennwörter setzen, auch mit komplexität, die nicht komplex waren. oder gibt es dafür evtl. einen schalter den ich noch nicht kenne, das man es dem admin erlaubt? Zitieren Link zu diesem Kommentar
Nocturne 10 Geschrieben 12. Mai 2006 Melden Teilen Geschrieben 12. Mai 2006 wenn es in der DDP defniert ist hast du keine möglichkeit es für eine andere OU zu blocken oder anders zu definieren. Ob die Richtlinie in der DDP oder in einer eigenen GPO definiert wird spielt keine Rolle, da du die Kennwortrichtlinie sowieso nicht blockieren kannst. Ich würde hier auch die DDP nehmen, weil es schlichtweg keinen Sinn macht widersprüchliche GPOs in der Domäne zu haben. Es wird wohl auf die Lösung von IThome hinauslaufen. :) Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 12. Mai 2006 Melden Teilen Geschrieben 12. Mai 2006 Die Kennwortrichtlinie kann man blockieren ... http://support.microsoft.com/kb/269236/en-us Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 12. Mai 2006 Melden Teilen Geschrieben 12. Mai 2006 aber ich bin schon die ganze zeit am grübeln, irgendwas gefällt mir noch nicht. wenn man es so macht wie es in dem link von MS steht dann musst du die password GPO erzwingen auch wenn diese in der hirachie über der DDP steht. wenn sie auf oberster ebene erzwungen ist kannst du sie weiter unten nicht blockieren. erzwingen hat vorrang...... also wenn man sie wirklich erzwingen muss dann wird es wieder nix mit dieser lösung oder man müsste die policy jeweils seperat mit allen OU's, ausser die es nicht treffen soll, einzeln verlinken und erzwingen oder in der rangfolge verschieben!? ich habe das noch nicht probiert. oder denke ich falsch? Zitieren Link zu diesem Kommentar
dasjonken 10 Geschrieben 12. Mai 2006 Autor Melden Teilen Geschrieben 12. Mai 2006 Also ich hab jetzt folgendes probiert: Ich habe eine neue GPO auf Domaenenebene erstellt und den Gruppen, in denen sich alle RADA-Clients befinden das lesen der Policy verweigert. Klappt nicht. Dann habe ich auf der OU in der sich die Clients befinden das Blocken aktiviert. Klappt auch nicht. Irgendwie lassen sich die Passwortrichtlinien nicht blocken. So ein Aerger! Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 12. Mai 2006 Melden Teilen Geschrieben 12. Mai 2006 Doch schon, aber nur in der Domain Controllers OU, siehe den Artikel weiter oben (das macht man aber nicht) ... Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 12. Mai 2006 Melden Teilen Geschrieben 12. Mai 2006 Hi, also nach meinem Veständnis kannst du dein Problem nur mit einer weiteren Domäne innerhalb deiner Gesamtstruktur lösen. Auch der verlinkte MS Artikel sagt nichts anderes! Es kann in einer Domäne nur eine einheitliche GPO für die Domänenkonten geben - da führt meiner Meinung kein Weg dran vorbei - zumindest habe ich noch keine Lösung in diese Richtung gesehen! Liebe Grüße Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 12. Mai 2006 Melden Teilen Geschrieben 12. Mai 2006 Genau, so habe ich es auch gelernt ... Zitieren Link zu diesem Kommentar
dasjonken 10 Geschrieben 12. Mai 2006 Autor Melden Teilen Geschrieben 12. Mai 2006 Heul, so eine verdammige Axt. Das mit der neuen Domaene geht auch keinen Fall. Na dann muss ich mal sehen, ob man die Switche auch so konfigurieren kann, dass sie ein anderes Passwort als die MAC akzeptieren. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.